Відповідність стандарту FIPS із шифруванням Dell

Розділ реєстру можна змінити для вибору певного cryptoprovider і метод криптології з модифікацією криптографічної бібліотеки, яку використовує агент Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Файли журналу Dell Encryption генерують рядки у файлі CMGshield.log, щоб вказати режим, у якому працюють постачальники криптографічних послуг (розташування за замовчуванням C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Рядок, що вказує на провайдера, який завантажується, представлений:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

За цим рядком пишеться ще один рядок, що позначає значення, яке було спожито в реєстрі:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Якщо прапорці Intel IPP вимкнені або відсутні, Dell Encryption виконує криптографічні операції, викликаючи криптографічну бібліотеку Dell, перевірену FIPS (працює в режимі FIPS).

Коли прапорці Intel IPP увімкнено, ті самі виклики криптографічних функцій здійснюються до бібліотек Dell, перевірених FIPS, але процес працює в програмі в режимі без FIPS, а операції шифрування використовують бібліотеку Intel IPP для підвищення продуктивності.

Щоб вибрати режим роботи, змініть (або створіть) розділ реєстру:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Адміністратори можуть перевірити налаштування після встановлення цього реєстру після перезавантаження за допомогою файлу CMGShield.log:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Застарілий криптографічний постачальник Dell Encryption Credant’s CMGCrypto більше не підтверджується NIST, хоча попередні сертифікаційні номери: 2156 і 2150

Розділ реєстру можна змінити для вибору певного cryptoprovider і метод криптології з модифікацією криптографічної бібліотеки, яку використовує агент Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Файли журналу Dell Encryption генерують рядки у файлі DellCommon.log, які вказують на режим, у якому працюють постачальники криптографічних послуг (розташування за замовчуванням C:\ProgramData\Dell\Dell Data Protection\).

Рядок, що вказує на провайдера, який завантажується, представлений:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

Керування режимом FIPS здійснюється за допомогою бібліотек FIPS від Microsoft, на які посилаються як BCrypt. Ці параметри можна ввімкнути за допомогою об'єкта групової політики для віддалено керованих машин, що можна зробити за допомогою консолі керування груповою політикою на комп'ютері, на якому встановлено Remote System Administration Toolkit (можна знайти тут: https://support.microsoft.com/en-us/help/2693643)

Інформацію про реалізацію корпорацією Майкрософт перевірених бібліотек FIPS можна знайти тут: https://technet.microsoft.com/en-us/library/cc750357.aspx

Щоб переглянути сертифікати FIPS для криптографічних бібліотек Microsoft, які використовує Dell Encryption Full Disk Encryption, перейдіть за посиланнями NIST.gov:

• Сертифікат 2-го рівня для криптографічних примітивів: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Сертифікат рівня 2 для криптографічних функцій ядра: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Віддалено керовані пристрої за допомогою Active Directory

Щоб увімкнути використання консолі керування груповими політиками (gpmc.msc), виконайте такі дії:

Виберіть організаційну одиницю, в якій ця зміна необхідна.

Малюнок 1: (Лише англійською мовою) Керування груповою політикою

1. Назвіть новий об'єкт групової політики.

Малюнок 2: (Лише англійською мовою) Назвіть об'єкт групової політики

2. Клацніть правою кнопкою миші новий об'єкт групової політики та виберіть Редагувати.

Малюнок 3: (Лише англійською мовою) Редагування об'єкта групової політики

3. Клацніть правою кнопкою миші політику та виберіть властивості , які потрібно змінити.

Малюнок 4: (Лише англійською мовою) Виберіть Властивості

4. Увімкніть параметр Визначити цей параметр політики, а потім натисніть радіальну кнопку Увімкнено .

Малюнок 5: (Лише англійською мовою) Увімкніть параметр Визначити цей параметр політики

5. Натисніть застосувати.
6. Закрийте редактор керування груповими політиками.

Після додавання пристроїв до організаційної групи або будь-якої підгрупи (за винятком груп, успадкування яких заблоковано), цей новий об'єкт групової політики застосовується до цих пристроїв як оновлення політик груп машин. За замовчуванням це оновлення використовується кожні 2 години або під час перезавантаження комп'ютера.

Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.

Локально керовані пристрої

Ці опції також можна увімкнути локально за допомогою редактора локальної групової політики (gpedit.msc) або редактора локальної політики безпеки (secpol.msc).

У локальному редакторі групової політики

Політика, про яку йде мова, міститься в розділі «Конфігурація> комп'ютера», «Параметри>Windows», «Параметри> безпеки», «Локальні політики>», «Параметри безпеки». Назва - Системна криптографія: Використовуйте FIPS-сумісні алгоритми для шифрування, хешування та підписання.

1. Клацніть правою кнопкою миші політику та виберіть властивості , які потрібно змінити.

Малюнок 6: (Лише англійською мовою) Властивості поліса

2. Увімкніть параметр Визначити цей параметр політики, а потім натисніть радіальну кнопку Увімкнено .

Малюнок 7: (Лише англійською мовою) Увімкніть параметр Визначити цей параметр політики

3. Натисніть застосувати.
4. Закрийте редактор керування груповими політиками.

Це нове правило застосовується до цих пристроїв, коли їхні політики щодо комп'ютерів оновлюються. За замовчуванням це оновлення використовується кожні 2 години або під час перезавантаження комп'ютера.

Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.

У редакторі локальної політики безпеки

Політика, про яку йде мова, знаходиться в налаштуваннях> безпеки, локальних політиках>, параметрах безпеки. Назва - Системна криптографія: Використовуйте FIPS-сумісні алгоритми для шифрування, хешування та підписання.

1. Клацніть правою кнопкою миші політику та виберіть властивості , які потрібно змінити.

Малюнок 8: (Лише англійською мовою) Властивості полісу

2. Увімкніть параметр Визначити цей параметр політики, а потім натисніть радіальну кнопку Увімкнено .

Малюнок 9: (Лише англійською мовою) Увімкніть параметр Визначити цей параметр політики

3. Натисніть застосувати.
4. Закрийте редактор керування груповими політиками.

Це нове правило застосовується до цих пристроїв, коли їхні політики щодо комп'ютерів оновлюються. За замовчуванням це оновлення використовується кожні 2 години або під час перезавантаження комп'ютера.

Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.

Увімкнути за допомогою запису реєстру

FIPS-сумісні алгоритми Microsoft також можна ввімкнути за допомогою реєстру. Щоб увімкнути FIPS-сумісні бібліотеки, можна змінити розділ реєстру:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

При перезавантаженні ця політика вступає в силу. Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.